Tool: gdb

1. 맥락(context)

주요 메모리들의 상태를 가독성 있게 보여준다. 크게 4개 영역으로 구분된다.

1. REGISTERS

레지스터의 상태를 보여준다.

2. DISASM

rip부터 디스어셈블된 결과를 보여준다.

3. STACK

rsp부터 스택의 값들을 보여준다.

4. BACKTRACE

현재 rip에 도달할 때까지 어떤 함수들이 중첩되어 호출됐는지 보여준다.

2. entry

entry

진입점부터 프로그램을 분석할 수 있게 해준다. DISASM 영역의 화살표(►)가 가리키는 주소는 현재 rip의 값이다.

3. break & continue / run / start

break(b)

특정 주소에 중단점(breakpoint)을 설정하는 기능

continue(c)

중단된 프로그램을 계속 실행시키는 기능

run(r)

프로그램을 처음부터 실행시키는 기능

start (main 명령어도 동일)

main() 심볼이 존재하면 main()에 중단점을 설정한 후 실행, 존재하지 않으면 진입점에 중단점을 설정한 후 실행

4. disassembly

disassemble

gdb가 기본적으로 제공하는 디스어셈블 명령어, 해당 함수가 반환될 때까지 전부 디스어셈블하여 출력한다.

u, nearpc, pdisass

pwndbg의 기능, 디스어셈블된 코드를 가독성있게 출력해준다.

5. navigate

ni(next instruction) & si(step into)

ni는 서브루틴의 내부로 들어가지 않지만,

si는 서브루틴의 내부로 들어간다는 차이점이 있다.

finish

si로 함수 내부에서 필요한 부분을 모두 분석했는데, 함수의 규모가 커서 ni로는 원래 실행 흐름으로 돌아가기 어려울 수 있다. 이럴 때 finish를 사용하여 함수의 끝까지 한 번에 실행할 수 있다.

6. examine

프로그램을 분석하다 보면 가상 메모리에 존재하는 임의 주소의 값을 관찰해야 할 때가 있다.

gdb에서는 메모리 조회를 위해 x 명령어를 제공한다.

특정 주소에서 원하는 길이만큼의 데이터를 원하는 형식으로 인코딩하여 볼 수 있다.

예1) rsp부터 80바이트를 8바이트씩 hex형식으로 출력
x/10gx $rsp

예2) rip부터 5줄의 어셈블리 명령어 출력
x/5i $rip

예3) 특정 주소의 문자열 출력
x/s 0x400000

7. telescope

telescope(tele)

pwndbg가 제공하는 메모리 덤프 기능이다. 특정 주소의 메모리 값을 보여주는 것에 더해, 메모리가 참조하고 있는 주소를 재귀적으로 탐색하여 값을 보여준다.

8. vmmap

vmmap

vmmap은 가상 메모리의 레이아웃을 보여준다. 어떤 파일이 매핑된 영역일 경우, 해당 파일의 경로까지 보여준다.

9. gdb / python

gdb로 프로그램을 디버깅할 때, 키보드로 타이핑하기 어려운 복잡한 값을 입력하고 싶을 때가 있다. 이용자가 직접 생성할 수 없는 값은 파이썬으로 생성한 뒤, 프로그램으로 넘겨주는 방식을 사용하면 된다.

gdb / python argv

run의 명령어 인자로 $()와 함께 파이썬 코드를 입력하면 값을 전달할 수 있다.

예) print함수를 통해 출력한 값을 run의 인자로 전달하는 명령

r $(python3 -c "print('\xff' * 100)")

gdb / python input

$()와 함께 파이썬 코드를 입력하면 값을 입력할 수 있다. 입력값으로 전달하기 위해 <<<를 사용한다.

예) argv[1]에 임의의 값을 전달하고, 값을 입력하는 명령어

r $(python3 -c "print('\xff' * 100)") <<< $(python3 -c "print('dreamhack')")

10. gdb의 명령어 축약 정리

b: break

c: continue

r: run

si: step into

ni: next instruction

i: info

k: kill

pd: pdisas

Learning Notes 🌟